Índice
El mejor contenido en tu bandeja de entrada
La autenticación en dos pasos, verificación en dos pasos o 2FA ha tomado gran importancia en los últimos años. Ya no sólo vinculada a la seguridad de las cuentas sino porque las regulaciones de muchos mercados han comenzado a exigir la implementación de este sistema a las compañías.
Del mismo modo, empresas de sectores en los que no es obligatoria su implementación han comenzado a ofrecer esta posibilidad y han impulsado incluso con campañas de incentivos que sus usuarios activen la verificación en dos pasos. Esto es ya prácticamente un must en cualquier estrategia de gestión de riesgos de empresas y negocios con presencia digital de la actualidad.
Como organización o negocio, debe entenderse la importancia de este método en las plataformas que ofrecemos a nuestros clientes y usuarios, nos lo exija la legislación vigente o no.
¿Qué es la autenticación en dos pasos?
La autenticación en dos pasos es un sistema de verificación de identidad diseñado para conceder acceso seguro a los usuarios a sus cuentas, productos y servicios o plataformas de gestión de clientes. Es decir, una serie de controles de identidad que garantizan que la persona que está solicitando acceso a una cuenta de usuario es su legítima propietaria.
La característica diferencial del modelo de autenticación en dos pasos es que utiliza dos factores en lugar de uno único. Esto añade una capa extra de seguridad al obligar al solicitante a aportar dos pruebas diferentes que confirmen que es quien dice ser.
También conocida como 2FA por sus siglas en inglés - Two Factor Authentication -, la verificación en dos pasos es un método mucho más seguro que tan sólo el uso del email de la cuenta junto con una contraseña alfanumérica sencilla. A ella, se suma un segundo paso para ser identificado en un servicio que garantiza controles más exhaustivos.
Esto evita que usuarios con intenciones fraudulentas suplanten la identidad de los clientes accediendo a sus cuentas y realizando operaciones en su nombre. Esto no sólo pone en riesgo a los consumidores sino a toda la organización, pudiendo tener que enfrentar sanciones millonarias. Es muy común que se escojan contraseñas fácilmente vulnerables y se utilicen por parte de hackers u otros delincuentes. Con la autenticación en dos pasos, rompemos esto con un doble factor de autenticación que no ha sido obtenido.
Esta segunda acción tras la introducción de nombre de usuario y contraseña es mucho más complicada de vulnerar, sobre todo si se trata de factores de autenticación inherentes. De esta forma, la identificación en dos pasos debe utilizar toda la tecnología a su alcance para asegurar procesos de acceso, login y autentificación totalmente infranqueables.
Los mejores sistemas de autenticación en dos pasos son capaces de utilizar factores de autenticación en función del dispositivo desde el que esté accediendo el usuario y detectar comportamientos sospechosos. Además de esto, hay decenas de controles que las plataformas están aplicando para llevar la seguridad a su máximo exponente.
Verificación de múltiples factores
Antes de ahondar en el proceso de autenticación, vamos a hacer un breve repaso por los pasos previos a esta: El onboarding de usuario y el Know Your Customer. Registrar la información del cliente en la base de datos de la compañía debe realizarse conforme a unos estándares técnicos y legales muy concretos.
En muchas industrias, no sólo basta con realizar un tratamiento de la información conforme a las normas de privacidad, sino que deben establecerse controles de verificación de identidad exhaustivos para corroborar que el usuario es quien dice ser. Esta es la base para que cualquier interacción posterior se realice bajo un entorno de garantías, confianza y con total respaldo legal.
En el onboarding digital vemos cómo los pasos previos a la primera autenticación se hacen de una forma ágil y automatizada, con el menor esfuerzo posible por parte del usuario y adquiriendo los datos a través de OCR, por ejemplo. Aquí entra en juego la verificación de la documentación de identidad de los usuarios, controles anti-fraude que evitan cualquier intento de suplantación o la firma de documentación y aceptación de condiciones de uso.
Durante este registro se procede a crear las credenciales con las que el usuario posteriormente accederá a sus productos y servicios o a la zona de cliente. Y es donde posteriormente entra en juego la autenticación. El método de creación de estas credenciales es decisivo de cara a una posterior autenticación en dos pasos. Utilizar las características del usuario extraídas por la tecnología que acompaña a los mejores procesos Know Your Customer (KYC) asegurará que las autenticaciones posteriores cuenten con un respaldo técnico y regulatorio del máximo nivel.
Tipos de factores de autenticación
Como hemos visto, la verificación en dos pasos consiste en la utilización de dos factores de autenticación para corroborar que la persona que está intentando acceder a una cuenta de cliente o usuario es su legítima propietaria. En las estrategias de autenticación de dos factores se utilizan dos de ellos para proteger este acceso.
A continuación hacemos un resumen de los distintos tipos de autenticación que pueden seleccionarse en combinación para cualquier modelo 2FA o MFA:
- Alfanuméricos que deben ser recordados: Estos se caracterizan por introducirse mediante letras, números y símbolos. Desde códigos de 4 o 6 cifras hasta las habituales contraseñas, pueden establecerse de muchos tipos.
- Login social: Se trata de un método de autenticación basado en factores que recoge otra plataforma con su propio sistema de verificación, también en ocasiones en dos pasos. Es útil, pero debe acompañarse de un segundo control.
- Elemento físico que se posee: Puede tratarse de tarjetas con chip NFC, un dispositivo móvil o un pendrive.
- Elemento físico que se es de forma inherente: Es decir, factores de autenticación biométricos como la cara, la voz, el iris o la huella.
- De tiempo y conducta: Son aquellos que tienen como referencia el comportamiento del usuario, la forma y el tiempo en el que desarrolla una serie de interacciones con la plataforma.
- De lugar: un sistema de ubicación o controles para identificar que el usuario se encuentra en un lugar determinado al que sólo él tiene acceso. Sin embargo, estos son muy poco comunes al igual que los anteriores.
Y, a la pregunta de “¿cuáles son los mejores factores de autenticación?” hay una respuesta contundente que tanto los expertos como los usuarios comparten: los de inherencia. La biometría facial y los sistemas de reconocimiento de rostro han demostrado ser la opción preferida por los usuarios y el factor más seguro ya que no se pierde, no se puede sustraer y a día de hoy la tecnología que los hace posible es infranqueable.
Doble factor de autenticación
Cuando hablamos de doble factor de autenticación nos referimos al segundo de una serie de varios factores requeridos en una operación de verificación de identidad. ¿Cómo elegir el orden correcto? Pues bien, podría parecer que lo más lógico sería comenzar por un factor menos seguro e ir incrementando la dificultad según se van aprobando los primeros. Sin embargo, la mejor recomendación es la de ser impredecibles.
La elección del doble factor de autenticación debe ser dinámica de tal forma que no siga unas pautas concretas siempre. Esto despistará a aquellos que pretenden cometer fraude de identidad y provocará que abandonen en su intento por acceder a una cuenta de cliente que no les pertenece.
Por otro lado, las compañías lanzan campañas para animar a sus usuarios a activar la autenticación de dos factores (A2F), ya sea a través de aplicaciones de terceros, el uso de SMS las OTP enviadas por correo electrónico. Esto es importante para aquellas compañías y organizaciones que ya cuentan con una base de datos ingente de usuarios que se registraron en la plataforma antes de que la verificación en dos pasos se convirtiera en la norma. Sin embargo, es mucho más fácil de lo que parece:
Ventajas, inconvenientes y activación AF2
A día de hoy, existen plataformas holísticas en modelo SaaS - pay per use - que cubren todas las interacciones del usuario en su customer journey de tal forma que las compañías no deben iniciar complejos proyectos para transformar sus operaciones y procesos de forma costosa. Actualmente, pueden incorporarse en días sistemas de doble factor de autenticación que crucen las pruebas de identidad con los datos ofrecidos en el registro.
Las ventajas de la autenticación en dos pasos se dan gracias a apps para los usuarios y aplicaciones para los negocios que hacen realmente sencillo convertir sus cuentas y sistemas en infranqueables por los hackers y delincuentes online. Cuando pensamos en inconvenientes, nos viene a la mente si las tasas de conversión y el número de operaciones se reducirán al solicitar un esfuerzo mayor al cliente.
Sin embargo, apenas hay ya negocios que - bien porque les obliga la regulación o porque desean ser seguros conforme a los estándares actuales - no hayan integrado ya sistemas de acceso y proyección de cuentas basados en modelos de verificación en dos pasos. Los usuarios no tienen problema en activar la autenticación reforzada y un buen sistema diseñado con las mejores prácticas UX/UI no generará ningún tipo de fricción.
PSD2 y SCA: Autenticación Reforzada de Cliente Autenticación Segura de Cliente (SCA) y otros estándares
La autenticación en dos pasos ha cobrado una gran importancia ya no sólo por el aumento en los ataques cibernéticos derivado de la explosión de los servicios y productos en remoto y digitales. La aprobación de normativas tanto nacionales como internacionales y regionales que obligan a las compañías a llevar un control más exhaustivo sobre el uso que hacen de los datos de sus clientes y la protección de sus sistemas para evitar riesgos ha sido decisiva para su expansión y, sobre todo, para su estandarización.
La directiva europea PSD2 (Second Payment Services Directive) ha transformado por completo el sector bancario y financiero, en especial el área FinTech. Su aprobación obligó a todas las compañías a estandarizar sus métodos de acceso y autenticación de cara a la realización de transacciones por parte de los usuarios a través de sus portales digitales.
Esta regulación creó el concepto SCA - Strong Customer Authentication - que tiene como objetivo favorecer la seguridad tanto en las entidades financieras como en las TPPs. Aunque con foco en las compras por internet, la SCA ha llevado la identificación en dos pasos a todas las industrias y áreas, fijando normas para un correcto funcionamiento y desempeño de las estrategias de autenticación de múltiples factores.
En conclusión, los negocios no deben esperar a que este tipo de normas lleguen a sus mercados y sectores para incorporar sistemas de autenticación en sus plataformas. La seguridad es crucial para cualquier negocio y ya no sólo es una opción adicional sino que no contar con estos controles ahuyentará a gran parte de los clientes potenciales por considerar que están operando con una empresa que no cuida sus datos o los productos y servicios que ha comprado y contratado, sintiéndose inseguros.
En cualquier estrategia de gestión de riesgos, la seguridad informática es prioridad a día de hoy. Miles de empresas cada día sufren ataques de suplantación de la identidad de sus clientes, poniendo en riesgo ya no sólo a estos, sino a la compañía por ser ella la responsable de esto. En ocasiones, estos ataques han provocado que los negocios hayan llegado a parar su actividad, se hayan tenido que enfrentar a sanciones o demandas por parte de los usuarios afectados.
